Startseite Navigation Inhalt Kontakt Sitemap Suche

Daten­si­che­rung im KMU-Umfeld

Die schnelle und mög­lichst voll­stän­dige Wie­der­her­stel­lung von Unter­neh­mens­daten bei Ver­lusten durch bös­wil­lige, ver­se­hent­liche oder zufäl­lige Sze­na­rien gehört zum unab­ding­baren Grund­schutz eines KMU. Dazu bedarf es der Imple­men­tie­rung eines aus­ge­klü­gelten Datensicherungsprozesses.

Wich­tigste Merk­punkte für Unternehmen:

  • Erstellen Sie ein Inventar Ihrer IT-Sys­teme und Daten und bestimmen Sie dafür jeweils den maximal tole­rier­baren Aus­fall resp. Verlust.
  • Bilden Sie darauf basie­rend Schutz­klassen von Objekten mit glei­chem Risiko und defi­nieren Sie für jede Schutz­klasse das jewei­lige Datensicherungskonzept.
  • Defi­nieren und imple­men­tieren Sie in Ihrem KMU einen Datensicherungsprozess.
  • Prüfen Sie regel­mässig die kor­rekte Daten­si­che­rung gemäss Daten­si­che­rungs­kon­zept und die Wie­der­her­stell­bar­keit der Daten.

Der Daten­si­che­rungs­pro­zess

Mit fort­schrei­tender Digi­ta­li­sie­rung nimmt auch in KMU die Zahl der ein­ge­setzten IT-Sys­teme und die Menge an ver­ar­bei­teten Daten stetig zu. Damit steigt die Abhän­gig­keit der KMU von der unein­ge­schränkten Ver­füg­bar­keit dieser IT-Sys­teme und Daten.

Umfang­reiche Daten­ver­luste, wie sie etwa durch bös­wil­lige Cyber­an­griffe, tech­ni­sche Defekte, Ele­men­tar­schäden oder auch bloss durch ver­se­hent­liche Löschungen ent­stehen, können für KMU eine exis­ten­ti­elle Bedro­hung dar­stellen. Die Fähig­keit einer schnellen und mög­lichst voll­stän­digen Wie­der­her­stel­lung von Unter­neh­mens­daten aus einer Daten­si­che­rung gehört daher zum unab­ding­baren Grundschutz.

Hierfür ist ein Daten­si­che­rungs­pro­zess zu eta­blieren, der die ord­nungs­ge­mässe Durch­füh­rung der Daten­si­che­rung gemäss Daten­si­che­rungs­kon­zept gewähr­leistet. Ebenso wichtig ist, dass in diesem Pro­zess auch regel­mässig das Funk­tio­nieren der Daten­wie­der­her­stel­lung über­prüft wird.

Die Schutz­klassen

Nicht jedes IT-System einer KMU ist gleich kri­tisch für den Geschäfts­pro­zess. Es braucht daher eine dif­fe­ren­zierte Beur­tei­lung des Schutz­be­dürf­nisses von IT-Sys­temen und Daten. Ein umfas­sendes und aktu­elles Inventar sämt­li­cher IT-Sys­teme und Daten bildet die Grund­lage, um sich einen Über­blick zu ver­schaffen und die darin geführten Objekte jeweils einer ange­mes­senen Schutz­klasse zuzuordnen.

Bei­spiel einer Schutz­klas­sen­zu­ord­nung auf­grund von Kri­te­rien
SKBezeich­nungRisikoMax. tole­rier­barer Ausfall/VerlustWie­der­her­stel­lungs­zeitAuf­be­wah­rungs­fristen
INor­maler SchutzbedarfKlein> 1 Tag< 1 Woche[/av_cell]> 1 Woche
IIHoher Schutz­be­darfMittel1 Tag1 Tag> 1 Monat
IIISehr hoher SchutzbedarfHoch< ½ Tag[/av_cell]> 1 Jahr

Neben der Gefähr­dung durch die genannten schäd­li­chen Ein­flüsse sind wei­tere Kri­te­rien in die Betrach­tung ein­zu­be­ziehen. Dazu zählen einer­seits die Ein­schät­zung des jeweils maximal tole­rier­baren zeit­li­chen Aus­falls von IT-Sys­temen resp. des quan­ti­ta­tiven Ver­lusts von Daten und ande­rer­seits die erfor­der­li­chen Aufbewahrungsfristen.

Mit­tels einer sol­chen Beur­tei­lung lassen sich IT-Sys­teme und Daten mit ähn­li­chem Schutz­be­dürfnis zu Schutz­klassen zusam­men­fassen. Für jede Schutz­klasse werden dar­aufhin die Anfor­de­rungen an ein ange­mes­senes Daten­si­che­rungs­kon­zept definiert.

Das Daten­si­che­rungs­kon­zept

Das Daten­si­che­rungs­kon­zept legt für jede Schutz­klasse die orga­ni­sa­to­ri­schen und tech­ni­schen Details der Daten­si­che­rung fest. Zu den orga­ni­sa­to­ri­schen Details gehören dabei insbesondere:

  1. Umfang der Daten­si­che­rung (Scope)
  2. Peri­odi­zität der Daten­si­che­rung (täg­lich, wöchent­lich, monatlich, …)
  3. Zeit­punkt der Daten­si­che­rung (Tages­ende, Wochen­ende, Monatsende, …)
  4. Auf­be­wah­rungs­fristen der Daten­si­che­rungs­stände (Gene­ra­tio­nen­prinzip)
  5. Gefor­derte Wie­der­her­stel­lungs­zeiten (maximal tole­rier­barer Ausfall)

Daraus leiten sich wie­derum die tech­ni­schen Details der Umset­zung ab, insbesondere:

  1. Daten­si­che­rungs­ver­fahren (voll, dif­fe­ren­tiell, inkrementell)
  2. Daten­si­che­rungs­me­dium (Fest­platte, Tape, …)
  3. Auf­be­wah­rung der Daten­si­che­rungs­me­dien (on pre­mise, phy­sisch aus­ge­la­gert, Cloud, …)

Umfang­reiche Daten­ver­luste – etwa durch bös­wil­lige Cyber­an­griffe, tech­ni­sche Defekte, Ele­men­tar­schäden oder ver­se­hent­liche Löschungen – können für KMU eine exis­ten­ti­elle Bedro­hung darstellen.

Mit­tels eines cle­veren Daten­si­che­rungs­kon­zepts kann das Risiko sol­cher Sze­na­rien mini­miert werden, indem eine schnelle und mög­lichst voll­stän­dige Wie­der­her­stel­lung der ver­lo­renen Daten erzielt wird.

Wei­ter­füh­rende Informationen

Mit dem Umfang der Daten­si­che­rung (Scope) wird fest­ge­legt, welche Daten(-quellen) tat­säch­lich in der Daten­si­che­rung auf­ge­nommen werden. Eine wohl über­legte und gut struk­tu­rierte Daten­ab­lage kann stark dazu bei­tragen, dass keine wich­tigen Daten über­sehen werden. Zudem ist zu prüfen, ob die zu sichernden Daten(-quellen) zum Zeit­punkt der Daten­si­che­rung auch tat­säch­lich ver­fügbar sind (z. B. aus­ge­schal­tete Geräte am Wochenende).

Eine kurze Peri­odi­zität der Daten­si­che­rungen gewähr­leistet einer­seits klei­nere Daten­aus­fälle, treibt im Gegenzug jedoch den Auf­wand für die Daten­si­che­rung in die Höhe. Ins­be­son­dere kann es zu Eng­pässen im Netz­werk kommen, wenn täg­lich grosse Daten­mengen gesi­chert werden sollen. Ein sorg­fäl­tiges Abwägen nach Schutz­be­dürf­nissen ist hier angezeigt.

Der Zeit­punkt der Daten­si­che­rung richtet sich nach den Geschäfts­ab­läufen. Dabei sollte der Risi­ko­ver­lauf hin­sicht­lich eines Daten­ver­lusts in der Zeit­spanne zwi­schen den ein­zelnen Daten­si­che­rungen beur­teilt werden. Häufig werden daher Tagesend-Siche­rungen durch­ge­führt, um den Tages­be­trieb nicht zu stören und die frei­blei­benden Res­sourcen in der Nacht für die Daten­si­che­rung zu nutzen.

Übli­cher­weise wird bei einem Daten­aus­fall der Stand der letzten ver­füg­baren Daten­si­che­rung wie­der­her­ge­stellt. Es kann aus unter­schied­li­chen Gründen manchmal aber auch erfor­der­lich sein, weiter zurück­lie­gende, his­to­ri­sche Daten wie­der­her­stellen zu können. Für solche Daten sind Auf­be­wah­rungs­fristen der Daten­si­che­rungs­stände fest­zu­legen. Mit­tels eines über­legten, an den Daten­mengen und Schutz­be­dürf­nisse des KMU ori­en­tierten Rota­ti­ons­schemas (Gene­ra­tionen-Prinzip) können diese Auf­be­wah­rungs­fristen mit einem Minimum an Daten­si­che­rungs­me­dien gewähr­leistet werden. Z. B. können bei täg­li­cher Daten­si­che­rung (Mo – Fr) mit nur 20 Daten­si­che­rungs­me­dien die Stände der letzten vier Wochen­tage (Mo – Do), der letzten 13 Wochen­enden (Fr), der letzten beiden Monats­enden, sowie des letzten Jah­res­endes wie­der­her­ge­stellt werden.

Mit den gefor­derten Wie­der­her­stel­lungs­zeiten ist die Zeit­spanne zwi­schen dem Fest­stellen des Daten­aus­falls bis zum Zeit­punkt des wie­der­her­ge­stellten Zugriffs gemeint. Je kürzer dieser maximal tole­rier­bare Aus­fall ange­setzt wird, desto höher sind die orga­ni­sa­to­ri­schen und tech­ni­schen Anfor­de­rungen an die Daten­si­che­rung. In Betracht zu ziehen sind hierbei die erfor­der­li­chen Zeiten für die Iden­ti­fi­ka­tion der wie­der­her­zu­stel­lenden Daten, die Loka­li­sie­rung dieser Daten auf den jewei­ligen Daten­si­che­rungen, den Zugriff auf die benö­tigten Daten­si­che­rungs­me­dien, sowie das eigent­liche Zurück­spielen der Daten.

Manchmal reicht die zur Ver­fü­gung ste­hende Zeit (z. B. Nacht­stunden) nicht aus, um die Daten einer bestimmten Schutz­klasse in der gefor­derten Peri­odi­zität voll­ständig zu sichern. Dieses Pro­blem kann mit der Wahl des Daten­si­che­rungs­ver­fah­rens (voll, dif­fe­ren­tiell, inkre­men­tell) gemin­dert werden. Bei der vollen Daten­si­che­rung (Voll­backup) wird eine voll­stän­dige Kopie sämt­li­cher Daten im Scope auf dem Daten­si­che­rungs­me­dium erstellt. Dieses Ver­fahren ver­ur­sacht den grössten Platz­be­darf auf dem Daten­si­che­rungs­me­dium und erfor­dert am meisten Zeit. Beim dif­fe­ren­ti­ellen Ver­fahren werden hin­gegen nur die seit der letzten vollen Daten­si­che­rung geän­derten Daten gesi­chert (Dif­fe­renz zum letzten Voll­backup). Das redu­ziert das Daten­vo­lumen erheb­lich, da ins­be­son­dere unver­än­der­liche Daten nur einmal gesi­chert werden müssen. Das Wie­der­her­stellen eines Daten­si­che­rungs­stands ist bei diesem Ver­fahren zwei­stufig: Es erfor­dert zunächst das Zurück­spielen der letzten vor­gän­gigen vollen Daten­si­che­rung und anschlies­send das Zurück­spielen der gewünschten dif­fe­ren­ti­ellen Daten­si­che­rung. Das inkre­men­telle Ver­fahren mini­miert das zu sichernde Daten­vo­lumen noch weiter. Hierbei werden nur die Ände­rungen zur letzten Daten­si­che­rung (egal nach wel­chem Ver­fahren) gesi­chert. Im Falle einer Wie­der­her­stel­lung müssen daher die letzte volle Daten­si­che­rung, die letzte dif­fe­ren­ti­elle Daten­si­che­rung, sowie sämt­liche anschlies­senden inkre­men­tellen Daten­si­che­rungen zurück­ge­spielt werden.

Mit dem Daten­si­che­rungs­me­dium ist das Behältnis gemeint, das einen bestimmten Daten­si­che­rungs­stand auf­nimmt. Dabei kann es sich im ein­fachsten Fall um eine blosse Datei mit einem spe­zi­ellen Datei­format han­deln oder aber auch einem phy­si­schen Daten­träger (Fest­platte, opti­sches Medium, Magnet­band, …) in einem dedi­zierten Back­up­system. Die Wahl des geeig­neten Daten­si­che­rungs­me­diums richtet sich primär nach den orga­ni­sa­to­ri­schen Anfor­de­rungen (Umfang, Peri­odi­zität, Auf­be­wah­rungs­fristen und Wie­der­her­stel­lungs­zeiten). Ins­be­son­dere für die lang­fris­tige Auf­be­wah­rung (Archi­vie­rung) grosser Daten­mengen haben sich Magnet­bänder etabliert.

Daten­si­che­rungs­me­dien und deren Auf­be­wah­rung sind für den gesamten Daten­si­che­rungs­pro­zess gera­dezu von zen­traler Bedeu­tung. In einer Risi­ko­ab­schät­zung sind Fak­toren wie phy­si­scher Schutz, Lage­rungs­be­din­gungen, Ver­füg­bar­keit, Zugäng­lich­keit usw. ein­zu­be­ziehen. Gene­rell sollten Daten­si­che­rungen von externen Ein­flüssen maximal iso­liert sein. So ist z. B. in Zusam­men­hang mit Ran­som­ware darauf zu achten, dass Daten­si­che­rungen für diese uner­reichbar, also unbe­dingt off­line auf­be­wahrt werden.

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Grund­kurs

Lernen Sie die aktu­ellen Bedro­hungen im Internet kennen und wie Sie sich mit ein­fa­chen Mass­nahmen davor schützen und E-Ban­king sicher anwenden.

wei­tere Informationen

Online-Kurs Mobile Ban­king / Payment

Lernen Sie Mobile Ban­king und Mobile Pay­ment kennen und wie Sie solche Apps sicher nutzen.

wei­tere Informationen

Online-Kurs für unter 30-jährige

Lerne dein Smart­phone sicher zu ver­wenden. Neben Basics zeigen wir dir, was bzgl. Social Media, Clouds, Mobile Ban­king und Mobile Pay­ment wichtig ist.

wei­tere Informationen

Kurs für KMU

Ist Ihr Unter­nehmen genü­gend sicher? Lernen Sie, mit wel­chen Mass­nahmen Sie die Infor­ma­ti­ons­si­cher­heit in Ihrem Unter­nehmen deut­lich erhöhen.

wei­tere Informationen